Ciberseguridad en cuarentena: qué es el phishing y cómo evitarlo

¿Qué es el phishing?

Al phishing podríamos denominarlo como “el cuento del tío” de la era digital. Se trata del fraude online más extendido, a través del cual los ciberdelincuentes roban datos de los usuarios -especialmente los de bancos- para vaciar sus cuentas.

Por lo general, el phishing se lleva a cabo mediante un mail apócrifo -también puede ser vía mensaje de texto al celular- que simula ser del banco del cliente y con el cual se le pide que actualice una serie de datos personales. El argumento suele ser que supuestamente se realizaron una serie de cambios y por lo tanto requieren actualizar la base de información.

En el mensaje se incluye un link que redirecciona a otra página, que también simula la estética del banco, donde solicitan que se ingresen los datos. Al hacerlo, el usuario brinda información confidencial sin sospechar que se trata de una estafa. Para hacerlo aún más creíble, muchas veces el sistema luego vuelven a redireccionar al usuario ahora sí hacia la página oficial del banco, y de esta forma se intenta esconder el engaño.

Quizás no sea inmediato, pero el paso siguiente de los estafadores será vaciar tu cuenta bancaria o hacer compras online con tu dinero.

En estos días de cuarentena por el coronavirus, el phishing bancario es una de las modalidades más comunes. La imposibilidad de acercarnos a la sucursal para hacer trámites y transacciones, y el vuelco casi masivo a las operaciones online, lo vuelve un blanco de ataque excepcional y nos hace a los usuarios mucho más vulnerables.

Por eso, los bancos están trabajando fuertemente en la concientización de sus clientes informando todas las operaciones que se pueden hacer a través del home banking, ya que los correos que se reciben se ven tan auténticos que si no estamos alertados fácilmente nos confunde.

¿Cómo evitarlo?

Una primera recomendación es siempre ingresar al homebanking poniendo la URL del sitio nosotros mismos, o utlizar la aplicación oficial de nuestro banco.

En caso de que sospeches que estás siendo víctima de phishing, inmediatamente cambiá tu usuario y contraseña de homebanking. También llamá a tu entidad para informar la situación.

Algunos de los mails que se arman para la estafa parecen tan reales que es muy difícil percibir el riesgo de estafa. Una recomendación es observar la dirección de correo desde la cual se envió, para estar seguros de que coincide con la que utiliza el banco.

Al respecto, el Banco Central publicó en twitter una serie de recomendaciones para no caer en la trampa:

Por todo esto, resulta fundamental que:

•  Como primera medida, seamos concientes del uso que hacemos de internet, las redes sociales, los chats y los correos electrónicos.
• Verifiquemos siempre los mensajes que recibimos, más aún cuando un correo electrónico nos pide abrir un archivo adjunto o hacer clic en un vínculo sospechoso.
• Implementemos sistemas o programas de seguridad.Contemos con un antivirus actualizado.
• Verifiquemos bien adónde estamos accediendo. Y, si algo nos parece dudoso, chequear el certificado de seguridad del sitio.
• Sepamos que todas las páginas web para realizar transferencias bancarias u otro tipo de transacción tienen que comenzar con https://. Si estamos frente a una dirección que no es así es preferible no realizar la operación.

¿Cómo pueden protegerse las empresas en tiempos de trabajo remoto?

1.  Lograr que los empleados tomen conciencia de las características del spear phishing. Para esto, las campañas de concientización son fundamentales, así como también la simulación de ataques ficticios (lo que comúnmente llamamos Penetration Test).
2. Controlar el acceso remoto a la red de la empresa y el uso del webmail del trabajo.
3. Crear contraseñas complejas y hacer más común el uso de segundos factores de autenticación.